Prvního listopadu začal platit nový zákon o kybernetické bezpečnosti, který do českého právního prostředí implementuje evropskou směrnici NIS2. Nese označení 264/2025 Sb. a jeho znění je k dispozici zde. Stejně tak vešel v účinnost zákon, kterým se mění některé zákony v souvislosti s přijetím zákon o kybernetické bezpečnosti. Jeho číslo je 265/2025 Sb. a k prostudování je tady.
Nový kyberzákon výrazně rozšiřuje počet regulovaných subjektů. Podle odhadů se touto legislativou bude muset řídit přes šest tisíc organizací různého druhu. Ty si musí samy ověřit, do jakého spadají režimu povinností, tedy vyššího či nižšího. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který zákon napsal a který sloužil jako regulátor, pro tyto účely vytvořil webovou kalkulačku společně s průvodcem.
Pokud vám v kalkulačce vyjde, že do regulace spadáte, je nutné do 60 dnů od platnosti zákona (tedy od prvního listopadu) provést registraci na portálu NÚKIBu, kde jsou i další informace. Posléze budete mít 30 dnů na doplnění kontaktních údajů a 12 měsíců na implementaci bezpečnostních opatření, které si zákon žádá.
Neotálejte
Například Hospodářská komora ČR doporučila firmám, aby s tímto procesem neotálely, provedly samoidentifikaci, určily odpovědné osoby a zahájily implementaci základních opatření.
“Nový zákon klade důraz na nastavení jasných rolí a odpovědností vedení. Firmy musí určit odpovědnou osobu pro komunikaci s NÚKIB a v případě vyššího režimu jmenovat manažera kybernetické bezpečnosti. Za dohled nad celkovou úrovní kyberbezpečnosti nese osobní odpovědnost vrcholový management. Zákon rovněž stanoví povinnost provést analýzu rizik, zavést systém řízení bezpečnosti informací (ISMS) a nastavit procesy pro detekci a hlášení incidentů (předběžná zpráva do 24 hodin, rozšířené oznámení do 72 hodin a závěrečná zpráva do jednoho měsíce). Firmy musí také zohlednit bezpečnostní požadavky na dodavatele, pravidelně školit zaměstnance, implementovat technická opatření (např. MFA, segmentace sítí, šifrování, logování) a vést přehlednou dokumentaci o přijatých krocích,” shrnula Komora.
Nový zákon se vztahuje na poskytovatele regulovaných služeb tak, jak jsou definováni v rámci kritérií ve vyhlášce 408/2025 Sb., o regulovaných službách. K zákonu je k dispozici pět konkrétních vyhlášek:
- Vyhláška o regulovaných službách (408/2025 Sb.).
- Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (409/2025 Sb.).
- Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (410/2025 Sb.).
- Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy (411/2025 Sb.).
- Vyhláška o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (412/2025 Sb.).
Pozor na pokuty
Zákon počítá s případnými postihy, je tedy dobré se jeho plnění věnovat. Za závazná porušení povinností hrozí pokuty až 250 milionů korun nebo dvě procenta z čistého celosvětového obratu. V režimu nižší povinnosti jde o až 175 milionů korun nebo 1,4 procenta z celosvětového obratu.
Svaz průmyslu a dopravy ČR regulovaným subjektům doporučil následující kroky: “Do konce roku 2025 se musíte ohlásit u NÚKIB prostřednictvím Portálu NÚKIB. Po registraci si stanovte rozsah řízení kybernetické bezpečnosti. Během následujícího roku začněte zavádět přiměřená bezpečnostní opatření a nastavte si proces hlášení incidentů. Kybernetickou bezpečnost pravidelně vyhodnocujte a rozvíjejte i v dalších letech.” Podpůrné informace Svazu jsou k dispozici zde.
Hospodářská komora ČR vydala následující doporučení: “Nastavte požadavky do smluv (minimální standardy, právo na audit, SLA pro reakci na incidenty). U kritických dodavatelů dělejte posouzení rizik a spravujte privilegované přístupy (PAM). Zaveďte politiky (řízení přístupů, dvoufaktorové ověřování, automatické aktualizace, zálohování/obnova, logování, odpovědnosti), školte zaměstnance a ověřte jejich odolnost vůči kybernetickým hrozbám (phishingové testy). Prioritizujte MFA, segmentaci sítí, patching, šifrování, monitoring/logování a u vyššího režimu i penetrační testy. Začínejte od kritických systémů. Vytvořte jednoduchý registr: co je hotovo, co běží, co se plánuje; přidejte evidence aktiv, rizik, opatření a incidentů. Připravte checklist pro interní sebehodnocení.”
Zákon o kybernetické bezpečnosti by v budoucnu mělo ještě doplnit posuzování bezpečnosti dodavatelského řetězce, což by mohlo z důležitých sítí a systémů vyloučit některé dodavatele. Vládní nařízení k této problematice ještě nebylo schváleno.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
